為幫助企業(yè)解答B(yǎng)YOD的安全困惑,并走上高效、安全的移動信息化之路,IT專家網(wǎng)記者近日采訪了知名移動信息化安全專家、北京明朝萬達(dá)科技有限公司(以下簡稱“明朝萬達(dá)”)董事長兼總裁王志海,探討了在BYOD時代企業(yè)信息安全存在的安全隱患,以及企業(yè)應(yīng)當(dāng)如何來防范這些新的安全威脅。
從BYOD工作模式的特點(diǎn)出發(fā),王志海分析了傳統(tǒng)應(yīng)對方式存在的一些不足之處。并表示:BYOD是移動信息化一個重要的部分,不能將BYOD安全與移動信息安全割裂,還要把移動安全置于整個企業(yè)的移動信息化策略之中考慮。
換言之,傳統(tǒng)的企業(yè)信息安全范式必須被打破,企業(yè)要從實(shí)際的移動業(yè)務(wù)系統(tǒng)建設(shè)需要出發(fā),構(gòu)建一個技術(shù)平臺,從數(shù)據(jù)、應(yīng)用、網(wǎng)絡(luò)和設(shè)備等多個層面來整體管理BYOD時代的信息安全。
移動信息化安全專家、明朝萬達(dá)董事長兼總裁 王志海
BYOD:三大安全隱患待解決
我國BYOD的安全形勢不容樂觀。根據(jù)產(chǎn)業(yè)情報研究所(MIC)針對國內(nèi)企業(yè)移動資安投資需求的調(diào)查結(jié)果顯示,85%以上的企業(yè)認(rèn)為,有必要鎖定BYOD行為,再加強(qiáng)企業(yè)內(nèi)部的移動資安防護(hù)。但目前只有12%的大型企業(yè)建置移動安全解決方案,60%以上的大型企業(yè)表示,將在考量BYOD的資安問題下增加對移動資安的投資。
BYOD究竟如何不安全?王志海指出,相比傳統(tǒng)信息化的模式,BYOD環(huán)境主要存在三個方面的安全隱患:首先是通過移動網(wǎng)絡(luò)鏈路接入,天然處在一個開放的網(wǎng)絡(luò),而傳統(tǒng)重要的信息系統(tǒng)都是通過企業(yè)內(nèi)網(wǎng)接入;其次,使用的環(huán)境與傳統(tǒng)信息化模式不一樣,傳統(tǒng)的大部分時間都在固定的辦公場所,設(shè)備丟失可能性很小,BYOD通常使用移動智能終端,更加容易丟失;第三,BYOD使用的個人設(shè)備上往往同時安裝很多個人的APP,而個人APP市場上的惡意軟件多如牛毛,這就將企業(yè)數(shù)據(jù)置于安全隱患之中。
他進(jìn)一步解釋說,鏈路接入方面,除了傳統(tǒng)的防火墻,還要防止VPN、鏈路加密、接入認(rèn)證等方面的安全,畢竟通過運(yùn)營商網(wǎng)絡(luò),還有通過公用WIFI接入,如果沒有加密技術(shù)的保護(hù),任何人都可能無障礙地訪問到企業(yè)的數(shù)據(jù)。而在終端方面,因?yàn)橛泻芏嗥髽I(yè)數(shù)據(jù)如包含企業(yè)重要信息的電子郵件,落到個人手機(jī)上,這樣不管是惡意軟件或者設(shè)備丟失,都有可能發(fā)生信息泄密的問題。
MIC的調(diào)查佐證了王志海的觀點(diǎn)。調(diào)查發(fā)現(xiàn),將近4%的大型企業(yè)曾經(jīng)遭遇過移動資安事件,主要是受到“設(shè)備失竊(42.1%)、員工將機(jī)密資料存于手機(jī)設(shè)備后外泄(36.8%)、以拍照方式外泄(31.6%)”等因素所引起。
傳統(tǒng)局限:未關(guān)注數(shù)據(jù)安全
雖然上述調(diào)查數(shù)據(jù)顯示移動安全事件的比例并不大,但斯諾登的陰影讓我們難以安心:若BYOD的應(yīng)用真正普及之后,傳統(tǒng)的防護(hù)措施將會捉襟見肘,大抵算是開門揖盜了。
對于傳統(tǒng)安防措施的不足之處,王志海從技術(shù)角度分析了其不足之處。首先,他認(rèn)為,傳統(tǒng)的安全防護(hù)軟件通常聚焦于防病毒、防火墻、IDS、鏈路加密等,并沒有真正關(guān)注到數(shù)據(jù),當(dāng)數(shù)據(jù)落地到BYOD設(shè)備上,就再也無法進(jìn)行管理。另一方面,現(xiàn)在的惡意軟件很難用傳統(tǒng)被動防護(hù)的方式來防御,一些看似合理讀取數(shù)據(jù),往往會侵害到企業(yè)的信息安全,卻不能被傳統(tǒng)防毒措施所查殺。再者,比如IPsec VPN甚至一些SSL VPN,也難以兼容復(fù)雜多樣的移動終端操作系統(tǒng)。
而從設(shè)備管理角度來說,BYOD最大的特色是使用個人的設(shè)備,而目前比較受到關(guān)注的是MDM(移動設(shè)備管理)的管理方式。但王志海指出,MDM用傳統(tǒng)的企業(yè)管理PC的模式來管控這些個人的設(shè)備,在個人設(shè)備上安裝和企業(yè)設(shè)備一樣的監(jiān)控系統(tǒng),由于涉及到個人設(shè)備大量的個人隱私,會導(dǎo)致最終用戶的反感,從而影響B(tài)YOD的設(shè)備實(shí)際使用量,這就違反了BYOD部署的初衷。
也就是說,這種方式只是把個人設(shè)備當(dāng)成一個整體來管,沒有真正關(guān)注BYOD時代企業(yè)最關(guān)心的應(yīng)用和企業(yè)的數(shù)據(jù)。
避免誤區(qū):純MDM本質(zhì)上傷害BYOD
從實(shí)踐來說,王志海認(rèn)為,國內(nèi)的企業(yè)做得還并不完善,由于缺乏整體規(guī)劃,終端安全方面的實(shí)踐固然還存在不足,數(shù)據(jù)安全方面也處于開始反思、整理、上升的階段。
由于BYOD時代接入企業(yè)業(yè)務(wù)系統(tǒng)的移動設(shè)備的情況相當(dāng)復(fù)雜,企業(yè)也感受到,不論在設(shè)備的管理和維護(hù)還是企業(yè)的信息安全方面,都給企業(yè)IT部門帶來了相當(dāng)大的挑戰(zhàn)。在此背景下,許多供應(yīng)商提供了移動設(shè)備管理的MDM解決方案,有一些部署MDM解決方案的企業(yè)也自認(rèn)為具有應(yīng)對BYOD的遠(yuǎn)見。
然而,王志海強(qiáng)調(diào),沒有關(guān)注到企業(yè)數(shù)據(jù)的MDM,是治標(biāo)不治本的,不能作為移動安全防護(hù)的主力軍。“單純的MDM本質(zhì)上對BYOD是一種傷害,并不是一種助力。”王志海表示,“要慎重采用。”他認(rèn)為,對MDM的一些公開的宣傳與用戶的需求有些脫節(jié)。
另外一個誤區(qū)就是跨平臺性。例如,一些企業(yè)做移動信息化,出于各種各樣的原因,往往會找開發(fā)移動應(yīng)用廠商順便做安全的東西,或者是找終端硬件供應(yīng)商同時提供一些安全的產(chǎn)品。王志海指出,這樣的做法在初期可能會節(jié)省成本并縮短部署時間,但由于設(shè)備和移動應(yīng)用的更新很快,這種安全產(chǎn)品往往會很快就跟不上企業(yè)更新?lián)Q代之后的實(shí)際需求。
王志海強(qiáng)調(diào),明智的策略是明確目標(biāo),進(jìn)行總體規(guī)劃,關(guān)注企業(yè)應(yīng)用和應(yīng)用中的數(shù)據(jù)安全,把邊界給明確。另外,企業(yè)移動信息安全是一個整體,安全同時包括了BYOD設(shè)備和企業(yè)的設(shè)備、還包括一些企業(yè)的物聯(lián)網(wǎng)設(shè)備,都是通過移動互聯(lián)網(wǎng)接入,因此,企業(yè)應(yīng)當(dāng)從整體來規(guī)劃。
明智策略:整體規(guī)劃構(gòu)建安全平臺
如何進(jìn)行整體規(guī)劃呢?王志海指出,移動安全有和企業(yè)的整個移動信息化分不開,因此企業(yè)首先需要明確哪些業(yè)務(wù)將要放在移動信息化的范疇之中,先把業(yè)務(wù)整理清楚,然后不管在移動安全,還是整個移動APP應(yīng)用平臺上,都要以平臺的方式來建設(shè)。
他認(rèn)為,技術(shù)平臺更重要的含義是把一些安全管理的規(guī)范落實(shí)到平臺上,要求所有的移動應(yīng)用按照規(guī)范接入到企業(yè)內(nèi)部的信息系統(tǒng)中來。
企業(yè)移動安全平臺應(yīng)當(dāng)包括哪些內(nèi)容?王志海說,首先是MAM(Mobile Application Management,移動應(yīng)用管理)。企業(yè)級的移動應(yīng)用發(fā)布,如果通過公共的App Store或者安卓商店,很容易中木馬,員工要獲取可信可控的APP,可以通過結(jié)合企業(yè)內(nèi)部App Store的MAM技術(shù)。
其次是鏈路和網(wǎng)絡(luò)安全。除了新技術(shù),包括傳統(tǒng)的防火墻、VPN等方式也要升級。VPN在沒有入口、跨平臺、跨設(shè)備的情況下如何使用?王志海說,VPN要作為應(yīng)用級的安全鏈路,這就打破了傳統(tǒng)簡單的IP層鏈路跨設(shè)備能力弱的瓶頸。
對于一些有更高級的要求的企業(yè),王志海建議,可以要求一旦接入企業(yè)內(nèi)部網(wǎng)絡(luò)時斷開其他的網(wǎng)絡(luò),以防止木馬擺渡。
第三,數(shù)據(jù)安全方面,包括數(shù)據(jù)在本地落地的保護(hù),防止木馬,防止第三人拿到設(shè)備看到企業(yè)的數(shù)據(jù),王志海之處,一旦設(shè)備丟失,應(yīng)當(dāng)可以遠(yuǎn)程銷毀。
最后,輔助性的終端管理,即MDM。比如有些企業(yè)可能需要禁止不安全的WIFI,王志海認(rèn)為,可以做到當(dāng)企業(yè)級應(yīng)用開始運(yùn)行的時候,才會啟用該策略,當(dāng)企業(yè)級應(yīng)用關(guān)閉時,就是個人設(shè)備作為滿足個人的需求使用,無須干涉。
基本原則:勿忘獨(dú)立性與合規(guī)性
建設(shè)移動安全平臺需要注意的事項(xiàng),王志海指出,應(yīng)當(dāng)堅(jiān)持兩個基本的原則,首先是移動安全管理的獨(dú)立性,即獨(dú)立于軟硬件的廠商,對各種應(yīng)用和各種終端平臺,都可以支撐。其次,要考慮合規(guī)性,尤其是一些大型的國企,必須選擇符合安全法規(guī)的產(chǎn)品,以確保安全并避免投資浪費(fèi)。
專家簡介
王志海先生是中國領(lǐng)先的內(nèi)網(wǎng)安全、數(shù)據(jù)安全與移動安全產(chǎn)品廠商北京明朝萬達(dá)公司主要創(chuàng)始人,現(xiàn)任北京明朝萬達(dá)董事長兼總裁。王志海先生畢業(yè)于清華大學(xué)和中國科學(xué)院,曾由清華大學(xué)出版專著《OpenSSL與網(wǎng)絡(luò)信息安全》。此外,王志海先生還擔(dān)任中國計(jì)算機(jī)學(xué)會計(jì)算機(jī)安全專業(yè)委員會常務(wù)委員、《信息安全技術(shù)》編委會委員的職務(wù)。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/
本文標(biāo)題:BYOD時代移動信息安全:必須關(guān)注數(shù)據(jù)
本文網(wǎng)址:http://www.guhuozai8.cn/html/consultation/10839618250.html
相關(guān)文章
